Lückenhafte Sicherheit im ERP

Das ERP-System ist in Unternehmen meist kritisch für das Geschäft. Allerdings ist die Sicherheit offenbar oft lückenhaft. Eine Umfrage der DSAG zeigt, dass die Unternehmen in den letzten Monaten besondere Sicherheitsvorkehrungen getroffen haben. [...]

Tagtäglich besteht die Gefahr, dass ein ERP wegen eines Hacker-Angriffs stillsteht. Dann stockt auch das Geschäft, oder es steht sogar still. Wie eine Umfrage unter 177 Mitgliedern der Deutschsprachigen SAP-Anwendergruppe (DSAG) ergab, treffen die Unternehmen besondere Sicherheitsvorkehrungen: Innerhalb der letzten zwölf Monate haben 55 Prozent zusätzlich investiert, um ihre SAP-Systeme besser abzusichern und Risiken zu minimieren. Vom Hersteller SAP erwarten die Anwenderfirmen, dass er sich ebenfalls besonders um die Sicherheit der geschäftskritischen Systeme kümmert. So halten es 78 Prozent für sinnvoll, wenn in neuen Releases, Services und Updates die Sicherheitsbestandteile bereits standardmäßig aktiviert wären (Security by Default). »Es bedarf deutlich mehr Standards und Unterstützung in diesem sensiblen Bereich. Wir wünschen uns hier eine noch engere Zusammenarbeit mit SAP«, sagt DSAG-Technologievorstand Ralf Peters.

Löcher im Netz und der Cloud
Lücken in den Sicherheitsmaßnahmen gibt es offenbar nicht nur bei der Software. Auch im Bereich der Netzwerksicherheit haben nur 54 Prozent ihr SAP-Server-Netz von anderen Netzen getrennt und geschützt. »Das heißt im Umkehrschluss, dass noch 46 Prozent keine Sicherheitsvorkehrungen getroffen haben«, sagt Alexander Ziesemer, Sprecher der DSAG-Arbeitsgruppe SAP Security Vulnerability Management. Er rät den SAP-Verantwortlichen, den Schutz der Systeme zu erhöhen. Die Anbindung an die Cloud steigert den Bedarf an Sicherungsmaßnahmen noch. Dessen ist sich eine große Mehrheit (87 Prozent) bewusst. Und der Bedarf ist vorhanden, denn mehr als die Hälfte (55 Prozent) haben ihre SAP-Systeme mit der Cloud verbunden oder rufen Funktionalitäten direkt über das Internet ab. Für 81 Prozent ist es eine große Herausforderung, diese Cloud-Produkte in ihre eigenen Sicherheitskonzepte zu integrieren. »Daraus leiten wir die Forderung an SAP ab, dass weiter intensiv an der Sicherheit der Cloud-Produkte gearbeitet werden muss, zum Beispiel durch ein einheitliches, in die Prozesse integriertes Identitäts- und Berechtigungsmanagement«, so Peters.
Bemerkenswert in dem Zusammenhang: Die Cloud-Thematik ist derzeit noch sekundär für die Befragten. »Als primär werden aktuell die Schnittstellen-Sicherheit, die SAP-Sicherheitsrichtlinien und Schulungen zur Sensibilisierung für das Thema über alle Unternehmensebenen hinweg eingestuft. So stehen z.B. Sicherheits-Schulungen zu SAP-relevanten Inhalten bei bislang lediglich zwölf Prozent der befragten Unternehmen auf der Agenda«, so Ziesemer. SAP arbeitet bereits an den zentralen Punkten, um in punkto Sicherheitskonzepte die Unternehmen in Zukunft noch besser zu unterstützen. Aber auch die Unternehmen selbst müssen im Bereich Sicherheit für Transparenz sorgen, ihre Richtlinien aktualisieren und ihre Mitarbeiter noch mehr dafür sensibilisieren. Über Konzepte zur Absicherung von Internet-of-Things-gestützten Prozessen verfügen derzeit 20 Prozent der Befragten. Auch hier sehen die Experten Handlungsbedarf.

Zentrales SAP-Security-Dashboard
So zwingend erforderlich Sicherheitskonzepte sind, ohne ein ordentliches Dashboard können sie kaum umgesetzt werden. Doch 72 Prozent der Befragten verwenden noch kein zentrales SAP-Security-Dashboard für die Übersicht über ihre Sicherheitseinstellungen. »Einige Anwender vertrauen dafür auf den SAP Solution Manager. Dessen primäre Aufgabe ist aus unserer Sicht derzeit jedoch nicht, die Funktionalitäten eines umfassenden Security-Dashboards abzubilden. Gemeinsam mit uns könnte die SAP einen Standard für ein komplementäres SAP-Security-Dashboard erarbeiten, um den Sicherheitsanforderungen aus Sicht der DSAG gerecht zu werden«, ist Ziesemer überzeugt.|CB